Детективная история с моим сайтом

30 октября года я обнаружил, что мой сайт http://мой_домен.ru недоступен. Вместо страницы сайта появилась надпись: «Account Suspended. This Account Has Been Suspended.»
Зная о том, что это очень плохо, я посмотрел свою почту и обнаружил письмо, в котором меня, как владельца сайта, информируют о том, что в одной из директорий сайта имеется файл с редиректом на какой-то мошеннический сайт. Т.е. меня обвиняют в фишинге.

При этом авторы письма просили выслать им копию этого файла, чтобы иметь возможность установить автора. Другими словами, письмо было вполне дружелюбного содержания.

Немедля я написал письмо хостеру:

1. Я: 30 Oct 09:41 PM

Здравствуйте!
Сегодня мной было прочитано письмо, пришедшее на мой e-mail о том, что принадлежащий мне домен http://мой_домен.ru нарушает права правообладателя и причастен к мошенническим действиям.
Я не имею к этому никакого отношения и готов незамедлительно уничтожить файл, указанный в претензии.
Уверен, что это результат хакерской атаки.

Ниже привожу номера тикетов, в рамках которых мы ранее вели переписку со службой технической поддержки, когда хакер пытался действовать от моего имени:
LQH-479126: адрес и номер телефона 19 Feb 07:27 PM
NOA-468881: помоги мне 17 Feb 11:10 PM
YZW-373139: Работа хостинга 17 Feb 09:02 AM
MZO-948635: Дополнительное 15 Feb 10:50 AM
NKE-308363: восстановить CPanel и изменить домен 15 Feb 01:48 AM
EJT-762715: Работа хостинга 15 Feb 12:41 AM
WGH-528799: Новый домен 14 Feb 11:09 PM

Далее привожу данные по тикету, в рамках которого устранялась аналогичная проблема:
QOA-847073: Аккаунт заблокирован? 23 Aug 11:03 PM

В связи с изложенным прошу предоставить мне доступ в мой аккаунт для удаления чужеродного файла: http://мой_домен.ru//administrator/components/com_virtuemart/includes/chase/Signon.htm?section=signinpage&=&cookiecheck=yes&=nba/signin.

Для сведения: письмо аналогичного содержания направлено мной по адресу: admin@домен_хостера.ru

2. Хостер: 30 Oct 10:50 PM

Здравствуйте.

Ваш аккаунт может быть активирован, за исключением домена http://мой_домен.ru
Этот домен на нашем хостинге более находиться не может, поскольку на него было уже 2 претензии на фишинг.

3. Я: 30 Oct 11:10 PM

Как-то странно получается: я ни в чем не виноват и Вы это знаете (доказательства моей непричастности Вы можете найти в нашей переписке — все ссылки я Вам дал).
Я не программист, а обычный пользователь, поэтому не представляю даже то как можно выявить какие-то вредоносные файлы, которые могли быть размещены известным Вам хакером.
Когда Вы мне сказали, что такой файл есть (это в прошлый раз), я немедленно его убрал. И в тот раз я просмотрел (как смог) все и не нашел ничего подозрительного. А может быть я просто не знаю как можно их искать?
В таком случае (если Вы мне не верите) помогите мне почистить содержимое папок домена мой_домен.ru
Неужели Вы думаете, что мне выгодно сделать что-то, от чего я потеряю и домен и сайты и свою репутацию честного человека и возможность хоть не много зарабатывать на этом сайте?

4. Хостер: 30 Oct 11:31 PM

К сожалению, мы также подчинены сетевым правилам Дата-центра, который держит наши сервера. После повторной претензии, мы обязаны заблокировать сайт и удалить с наших ДНС, в противном случае отключат весь сервер, а там клиентов более 400, естественно, мы не можем этого допустить.

Самый разумный выход в Вашем случае, зарегистрировать другой домен и припарковать его на этот домен, чтобы он стал зеркалом сайта, соответственно вычистив контент (самое оптимальное решение переустановить все с нового дистрибутива и загрузить контент резервный) продолжать работать.

Боюсь, что мы просто не вправе подключить Ваш домен на наши ДНС даже на короткое время.

5 Я: 31 Oct 08:57 AM

Здравствуйте!
Видимо, ситуация, в которой я оказался, действительно очень серьезная.
Очень не приятно в ней оказаться…
Однако, что-то нужно делать.
Во-первых, прошу Вас восстановить работу домена Другой_мой_домен.ru.
По домену мой_домен.ru все гораздо сложнее.
Здесь я попрошу Вас сохранить базу данных (там только тексты) и картинки, к которым ни у кого претензий быть не может.
По поводу дальнейших действий — пока я не знаю как лучше поступить: или действительно все перенести на другой домен, либо (не знаю возможно ли это?) перенести домен в другую хостинговую компанию.
Дело в том, что на этот домен я работал более 2-х лет и (для кого-то это ничего, а для меня очень значимо) он попал в каталог DMOZ, имеет PR=3, есть ТиЦ=20 (это конечно не много), Яндексом и Гуглом проиндексировано более, чем по 2 тыс. страниц (сайт сделан для людей, это не «копипаст»).
Короче, мне очень не хотелось бы его терять.
Вышесказанное лишний раз свидетельствует о том, что все, что произошло — не моих рук дело, т.к. гораздо менее рисково было бы все это «черное дело» организовать на каком-нибудь другом домене и более дешевом, чем Ваш, хостинге.
Повторюсь — я не специалист, и потому прошу Вас дать совет — что сделать лучше: оставить сайт на этом домене и перенести на другой сервер (опять же, если это возможно) или перенести на другой домен?
Спасибо.

6.  Я: 31 Oct 06:38 PM

Спасибо за понимание, содействие и терпение.
Все-таки я думаю, что лучше перенести домен на другой хостинг.
Правда, в этом есть одна проблема: этот домен зарегистрирован мной через Вас.
В этой связи прошу выслать на мой e-mail все данные, необходимые для его переноса на другой хостинг.
Спасибо.

7 Я: 31 Oct 06:39 PM

Пожалуйста, дайте мне время на копирование всех данных.

8. Хостер: 31 Oct 06:59 PM

Данные выслали на ваш Email.

Поскольку ваш аккаунт оплачен — отключать мы его не будем, при условии что претензионный домен более не появится на вашем аккаунте.

9. Я: 31 Oct 09:05 PM

Спасибо, все получил.
Единственное «НО»…
Вы выслали данные на два адреса: один принадлежит мне, а другой — это адрес того хакера, который ранее все навредил (ранее он работал от моего имени и вел с Вами переписку от моего имени).
Мой адрес почты: моя_почта@mail.ru
Слава Богу, в аккаунт RU-Center мне удалось зайти и пароль я сменил.

Обещаю, что домен мой_домен.ru на Вашем хостинге работать более не будет и после переноса данных на другой хостинг я все уничтожу.

Спасибо за все.

10. Я: 31 Oct 09:13 PM

Кстати, забыл Вас спросить: Это Вы убрали тот «злополучных» файл?

Я его не нашел.

11 Хостер: 31 Oct 09:17 PM

Нет, файлы мы не просматривали. Все сейчас в том же состоянии, что и на момент отключения. Пока нет времени работать с этим.
Получается так, что любого владельца сайта можно обвинить в чем угодно и он не имеет возможности доказать свою невиновность.
Разумеется, я перенес сайт к другому хостеру, т.к. другого пути у меня не было.
Таким необычным делом я занимался впервые и чтобы все отладить пришлось потратить около недели времени.

Вот такая детективная история приключилась с моим сайтом.

Совет: ревностно храните пароли от своих аккаунтов, пользуйтесь эффективными антивирусными программами, не храните пароли на жестком диске.